Naar de inhoud
Avanet

Sophos Firewall DHCP Options (SFOS)

Sophos Firewall

Dit artikel laat zien hoe men DHCP-opties op een Sophos Firewall met SFOS configureert en hoe men typische speciale gevallen zoals PXE, WDS, thin clients of oudere RED-omgevingen correct indeelt.

Actuele Sophos Firewall-versies ondersteunen DHCP-opties direct in WebAdmin. Voor de meeste omgevingen is daarom geen SSH- of CLI-configuratie meer nodig. De CLI-voorbeelden blijven toch belangrijk, omdat oudere runbooks, speciale gevallen en troubleshooting vaak nog precies deze syntaxis gebruiken.

Wat DHCP-Opties Zijn

DHCP deelt niet alleen een IP-adres uit. Samen met de lease kan de DHCP-server extra informatie aan de client meegeven. Daarvoor bestaan DHCP-opties. Typische voorbeelden zijn DNS-servers, gateway, TFTP-server, bootfile-naam, vendor-specifieke parameters of waarden voor thin clients en telefoons.

Op Sophos Firewall horen DHCP-opties altijd bij de DHCP-server of scope die de lease uitgeeft. Dat is belangrijk: als een client zijn adres van een andere DHCP-server krijgt, moet de optie daar worden geconfigureerd. Als Sophos Firewall alleen als DHCP Relay werkt, stuurt hij DHCP-aanvragen door, maar is hij niet de plek waar de optie voor die scope wordt beheerd.

In de praktijk moeten vóór de configuratie drie dingen duidelijk zijn:

  • Welke DHCP-server geeft de lease echt uit?
  • In welke scope of op welke interface bevindt de client zich?
  • Welke option codes, datatypes en waarden vereist de fabrikant van het doelsysteem?

Vereisten

  • Sophos Firewall met geactiveerde DHCPv4-server
  • Toegang tot Network > DHCP
  • Een DHCP-scope op de juiste interface
  • De benodigde DHCP-option codes en waarden van de fabrikant of het doelsysteem
  • Voor CLI-fallbacks: toegestane SSH-toegang tot Sophos Firewall

1. DHCP-Server Maken of Controleren

Om DHCP-opties te kunnen uitdelen, is eerst een DHCPv4-server op Sophos Firewall nodig. Deze wordt in WebAdmin onder Network > DHCP aangemaakt of bewerkt.

Vooral belangrijk is:

  • De DHCP-server is aan een interface gekoppeld.
  • De scope past bij het netwerk waarin de clients staan.
  • DNS-servers, gateway en lease time zijn correct ingesteld.
  • De DHCP-naam bevat geen onnodige spaties of speciale tekens.
  • PXE-, VoIP-, thin-client- of RED-speciale gevallen zijn vooraf gedocumenteerd.

Voor CLI-commando’s is vooral de DHCP-naam relevant. Als de naam spaties of speciale tekens bevat, worden latere commando’s en runbooks onnodig foutgevoelig. Duidelijke namen zoals DHCP_Server_Avanet_LAN, Home_Scope of DHCP_VoIP zijn in de praktijk eenvoudiger.

DHCP-opties configureren in de DHCPv4-server van Sophos Firewall
In actuele SFOS-versies kunnen DHCP-opties direct in de DHCPv4-server van Sophos Firewall worden beheerd.

2. DHCP-Opties in WebAdmin Configureren

Zodra de DHCPv4-server is aangemaakt, kunnen de opties direct in hetzelfde dialoogvenster worden toegevoegd.

  1. Network > DHCP openen.
  2. De bestaande DHCPv4-server bewerken of een nieuwe server aanmaken.
  3. Naar de sectie DHCP options gaan.
  4. Optie toevoegen.
  5. Option, Code, Type en Value invoeren.
  6. Wijzigingen opslaan.
  7. Met een testclient controleren of de optie werkelijk wordt overgenomen.

De velden betekenen:

VeldBetekenis
OptionNaam van de optie. Vooraf gedefinieerde opties kunnen worden geselecteerd; voor eigen opties gebruikt men een duidelijke naam.
CodeNumerieke DHCP-option code, bijvoorbeeld 66, 67, 161 of een vendor-specifieke waarde.
TypeDatatype van de waarde, bijvoorbeeld ipaddress, string, boolean, one-byte, two-byte, four-byte of array-of.
ValueDe concrete waarde die de client moet ontvangen, bijvoorbeeld een IP-adres, hostname, pad of poort.

De juiste waarden worden meestal door de fabrikant van het doelsysteem geleverd. Vooral bij string-waarden, paden of vendor-specifieke opties is een controle in de documentatie van de fabrikant zinvol. Een waarde die formeel kan worden opgeslagen, betekent nog niet automatisch dat de client deze interpreteert zoals verwacht.

3. Typische Gebruikssituaties

DHCP-opties zijn meestal nodig wanneer een client tijdens het starten aanvullende informatie nodig heeft. Veelvoorkomende gevallen zijn PXE, WDS, thin clients, VoIP-telefoons, access points of individuele legacy-scenario’s.

PXE en WDS

Voor PXE- of WDS-omgevingen worden vaak de opties 66 en 67 gebruikt:

  • 66 verwijst naar de TFTP- of deploymentserver.
  • 67 bevat de bootfile-naam.

Als de client de server bereikt maar niet boot, ligt het probleem vaak niet bij de firewall, maar bij een verkeerd bestandspad, een ongeschikt datatype of een bootbestand dat niet bij de architectuur past. UEFI- en BIOS-clients hebben vaak verschillende bootbestanden nodig.

Thin Clients

Thin clients hebben afhankelijk van de fabrikant opties nodig voor managementservers, imageservers of verbindingsparameters. In oude runbooks vindt men daarvoor bijvoorbeeld:

  • 161 voor de server
  • 192 voor een poort of extra parameter

Of deze codes correct zijn, hangt af van de fabrikant en het gebruikte thin-client-model. Daarom moet men de codes niet blind overnemen, maar altijd controleren in de documentatie van de fabrikant.

Oudere RED-Speciale Gevallen

In oudere omgevingen waren er gevallen waarin bij een Sophos RED 15w het geïntegreerde access point niet correct werd herkend. Daarvoor werd soms een vendor-specifieke DHCP-optie gebruikt, bijvoorbeeld met option code 234 en een waarde zoals 10.10.10.12.

Dit is geen algemene standaard voor moderne SD-RED-installaties. Als legacy-voorbeeld blijft het wel nuttig, omdat het laat zien hoe eigen option codes worden gedefinieerd en aan een DHCP-server worden gekoppeld.

Voor actuele RED-designs is het artikel Sophos SD-RED instellen en fouten oplossen nuttiger. Gaat het om interface-, VLAN-, bridge- of RED-designs, dan helpt ook Sophos Firewall-zones en interfaces plannen en configureren.

4. Wanneer DHCP Relay in Plaats van DHCP Server Relevant Is

Sophos Firewall kan niet alleen zelf DHCP-server zijn, maar ook DHCP Relay gebruiken. Daarbij worden DHCP-aanvragen van clients doorgestuurd naar een DHCP-server in een ander netwerk.

Dit is vooral relevant wanneer IP-adressen centraal door een Windows-DHCP-server of een ander dedicated DHCP-systeem worden uitgegeven. In zulke designs worden DHCP-opties normaal op deze centrale DHCP-server beheerd, niet op Sophos Firewall.

Bij VPN-, XFRM-, RED- of branch-designs moet men daarom eerst controleren:

  • Moet Sophos Firewall zelf leases uitdelen?
  • Moet hij alleen DHCP-aanvragen doorsturen?
  • Bevindt de client zich in een direct aangesloten netwerk?
  • Zijn er meerdere DHCP-servers die per ongeluk op dezelfde client zouden kunnen antwoorden?

Als de verkeerde DHCP-server antwoordt, helpt ook de meest correcte DHCP-optie op Sophos Firewall niet.

5. Wanneer de CLI Nog Zinvol Is

Voor actuele standaardconfiguraties is WebAdmin normaal voldoende. De CLI is vooral nog zinvol wanneer:

  • een oud artikel of ouder runbook al op CLI-commando’s is gebaseerd
  • ongebruikelijke vendor-opties getest moeten worden
  • men in een supportcase exact wil zien welke bindings intern zijn opgeslagen
  • een omgeving uit een zeer oude SFOS-versie is overgenomen
  • een commando uit documentatie moet worden nagebouwd of gecontroleerd

Wie deze weg moet gebruiken, controleert eerst de handleiding Via SSH verbinden met Sophos Firewall. Na de login wordt voor de volgende commando’s 4. Device Console gebruikt.

Sophos Firewall SSH-menu met selectie van de Device Console
Voor DHCP-option-commando’s wordt na de SSH-login de Device Console van Sophos Firewall gebruikt.

CLI-Basisprincipe: Optie Definiëren en Koppelen

Bij de CLI-configuratie zijn er twee stappen:

  1. De DHCP-optie wordt gedefinieerd.
  2. De optie wordt aan een DHCP-server gekoppeld en krijgt daar een waarde.

Eerst wordt de optie gedefinieerd:

system dhcp dhcp-options add optioncode optionname optiontype

De placeholders betekenen:

  • optioncode: numerieke DHCP-option code
  • optionname: vrij gekozen naam van de optie
  • optiontype: datatype, bijvoorbeeld ipaddress of string

Voorbeeld voor een IP-adres als DHCP-optie:

system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress

Daarna wordt de optie aan een DHCP-server gekoppeld:

system dhcp dhcp-options binding add dhcpname optionname(234) value

De placeholders betekenen:

  • dhcpname: naam van de DHCP-server uit de Sophos-Firewall-configuratie
  • optionname(234): naam van de eerder gedefinieerde optie inclusief option code tussen haakjes
  • value: waarde die aan clients moet worden uitgedeeld

Voorbeeld:

system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12

6. CLI-Voorbeelden

De volgende voorbeelden blijven nuttige sjablonen wanneer een optie via Device Console moet worden gezet of een oud runbook moet worden begrepen. Deze commando’s zijn niet fout; in actuele standaardomgevingen zijn ze alleen niet meer de eerste methode.

Thin Client Server

Met deze optie wordt een thin client verteld op welke server de image of managementcomponent staat:

system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'

Als daarnaast een poort nodig is, kan deze als string worden gezet:

system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'

WDS en PXE

Een DHCP-option-waarde voor de WDS- of TFTP-server kan zo worden gezet:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11

De bootfile-naam voor de pre-environment wordt als optie 67 meegegeven:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com

Met pre-environment wordt de bootomgeving bedoeld waarmee een client tijdens installatie of herstel start. Afhankelijk van de omgeving kan het benodigde pad afwijken, vooral bij UEFI-, BIOS-, 32-bit- en 64-bit-clients.

Bestaande Opties Tonen

Voor wijzigingen moet men bestaande opties tonen:

system dhcp dhcp-options list

Bindings van een DHCP-server tonen:

system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN

Een optie kan indien nodig weer worden verwijderd:

system dhcp dhcp-options delete optionname dhcp_magic_ip(234)

7. Typische Foutbronnen

Als een DHCP-optie is opgeslagen maar op de client niet werkt zoals verwacht, ligt het vaak aan een van deze punten:

  • De verkeerde DHCP-server antwoordt op de aanvraag.
  • De verkeerde scope of interface is bewerkt.
  • Het datatype past niet bij de verwachte waarde.
  • IP-adres, FQDN, poort of pad bevat een typefout.
  • Het bootfile-pad past niet bij de clientarchitectuur.
  • De client verwacht een string, maar de optie is als IP-adres aangemaakt.
  • De fabrikant gebruikt vendor-specifieke opties die extra parameters nodig hebben.
  • De lease is na de wijziging niet vernieuwd.
  • DHCP Relay wordt gebruikt, hoewel de optie op Sophos Firewall is beheerd.

Na een wijziging moet men de lease op de testclient vernieuwen en controleren of de client de verwachte opties werkelijk ontvangt. Als het gedrag nog steeds niet klopt, is een packet capture vaak sneller dan lang raden: in de DHCP-pakketten ziet men welke server antwoordt en welke opties daadwerkelijk worden geleverd.

Bronnen